Sem autoridade reguladora, LGPD tem prazo adiado e entra em vigor em 1º de janeiro de 2021
agosto 26, 2020SÃO PAULO – A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) foi adiada para 1º de janeiro de 2021, após aprovação da Medida Provisória (MP) 959/2020 na Câmara dos Deputados, nesta terça-feira (25).
Criada em agosto de 2018, a LGPD tinha previsão original de entrar em vigência no último dia 14 de agosto. O artigo 4º da medida, editada pelo presidente Jair Bolsonaro em abril, previa a prorrogação da vigência da lei para maio de 2021. Após emenda ao texto original da MP, o prazo foi alterado para o dia 31 de dezembro de 2020.
A LGPD cria uma série de regras sobre os processos de coleta, armazenamento e compartilhamento de informações e tem função de proteger os dados pessoais de todo cidadão que esteja no Brasil..
A norma define dados pessoais como informações que podem identificar alguém. Dessa forma, a lei estabelece que algumas dessas informações, consideradas como “dados sensíveis”, assim como registros sobre crianças e adolescentes, devem ser tratados tanto nos meios físicos como nos digitais com um maior nível de proteção.
Os dados sensíveis referem-se a informações sobre: origem racial ou étnica; convicções religiosas; opiniões políticas e filiação sindical; saúde, vida sexual e questões genéticas e biométricas.
Ao coletar esse tipo de informação, as companhias deverão informar a finalidade. Se o usuário aceitar concedê-los, as empresas podem usar esses dados, respeitando a lei. Apenas em casos excepcionais, se for considerado indispensável, a LGPD permite tratar dados sem consentimento para cumprir uma obrigação legal, executar política pública prevista em lei ou preservar a vida e a integridade física de uma pessoa, por exemplo.
A lei ainda prevê obrigações, como a notificação do titular em caso de incidentes de segurança, e a possibilidade de o portador solicitar os dados que a empresa têm sobre ele, detalhando para quem foram repassados e com qual finalidade, além de cobrar correções, em caso de erros.
A LGPD também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados, como os scores de crédito (entenda como funcionam os scores).
Qualquer empresa em operação no Brasil está sujeita à lei, que prevê advertências, multas e até mesmo proibição total ou parcial de atividades relacionadas ao tratamento de dados em caso de descumprimento das obrigações previstas.
As multas variam de 2% do faturamento anual da empresa até R$ 50 milhões, contando com penalidades diárias.
As punições, porém, só poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), que ainda não foi criada e tem causado confusão entre as empresas sobre o processo de adaptação à lei e mudança de cultura organizacional. Pela Lei nº 14.010, as punições foram adiadas até agosto de 2021.
A ANPD terá a tarefa de regular a lei, observando a aplicação correta dos artigos previstos na LGPD e sancionando as eventuais punições em caso de descumprimento. A autoridade também exercerá a função educativa de orientar a sociedade sobre as novas normas e mediar eventuais conflitos entre as companhias e os usuários.
No final da gestão do presidente Michel Temer, em 2018, foi editada a Medida Provisória n. 869/2018, que fez diversas alterações na Lei Geral de Proteção de Dados e propôs a criação da entidade. A MP foi aprovada com modificações e convertida na Lei n. 13.853, sancionada pelo Presidente Jair Bolsonaro em julho de 2019.
Sem ANPD não há lei?
Conforme a lei, a natureza jurídica da Autoridade Nacional de Proteção de Dados é transitória e ela poderá ser transformada em autarquia especial e vinculada à Presidência da República em até dois anos.
A existência da ANPD para vigência da Lei Geral de Proteção de Dados tem sido motivo de divergência entre entidades, parlamentares e especialistas.
O Laboratório de Políticas Públicas e Internet (Lapin) publicou uma nota técnica contra o adiamento da lei, defendendo que sua postergação traz riscos para a economia digital e para os direitos digitais dos brasileiros e irá atrasar a recuperação econômica do país no pós-pandemia.
A organização afirma que a a vigência da LGPD seria a força motora para a criação da ANPD e manter sua data de vigência original protegeria instituições públicas e permitiria mais eficiência no tratamento de dados pessoais para combater a Covid-19.
“Com a entrada em vigor da lei ainda em agosto, candidatos e eleitores terão maior proteção do uso de seus dados durante as próximas campanhas eleitorais, programadas para o segundo semestre de 2020. Dito isso, a existência de uma LGPD vigente, que preveja parâmetros básicos para estas políticas, é fundamental para que estas sejam efetivas e respeitem a proteção de dados”, escreveu o grupo.
A ausência da ANPD, para Fernando Sotto Maior, advogado e sócio-fundador do escritório Sotto Maior & Nagel, poderia gerar insegurança em relação às diretrizes que cada empresa vai buscar para atender a lei.
As discussões sobre segurança e privacidade se intensificaram no Brasil nos últimos anos e diversos órgãos já trabalham com agenda pautada na proteção de dados. Um dos papéis da autoridade nacional seria de harmonizar essas atuações para que nenhuma regulamentação setorial se sobressaia à LGPD.
“A vigência sem uma autoridade regulando pode ocasionar uma judicialização excessiva dos direitos dos titulares no primeiro momento. Isso é preocupante porque com diversos órgãos descentralizados querendo defender os usuários, isso geraria interpretações diversas sobre a aplicação da lei. Para o mundo é uma exigência ter uma autoridade nacional, independente, técnica e atuante regulamentando o tratamento de dados pessoais”, explica Sotto Maior.
José Mauro Decoussau Machado, sócio de Tecnologia do Pinheiro Neto Advogados, afirma que a LGPD trouxe conceitos inéditos para o Brasil, que podem abrir margem para diversas interpretações se entrarem em vigor sem a existência da ANPD. Por isso, ele considera que a prorrogação pode ser favorável, se o prazo extra for usado para reestruturar e organizar a nova autoridade.
“A lei é totalmente nova e não tem uma jurisprudência que estabeleça como suas normas devem ser interpretadas. É muito preocupante sob o aspecto educativo e da segurança jurídica. Sem uma autoridade funcionando, estabelecendo como esses princípios vão ser interpretados, vai abrir margem para insegurança”, pontua.
Entidades como a FecomercioSP e a Câmara Brasileira de Comércio Eletrônico também eram favoráveis ao adiamento pois defendiam que a vigência da lei, neste momento, causaria muita insegurança jurídica.
A Frente Empresarial em Defesa da LGPD e da Segurança Jurídica, grupo que reúne 70 associações e entidades, como a Associação Brasileira das Empresas de Software (ABES), a Abranet (Associação Brasileira de Internet) e a Abinee (Associação Brasileira da Indústria Elétrica e Eletrônica) publicou uma carta afirmando que a ANPD é essencial para que haja equilíbrio entre proteção de dados pessoais e desenvolvimento da economia digital.
O grupo defende que sem a autoridade criada não existem “regulações, nem orientações para guiarem as organizações brasileiras para que avancem em um pleno trabalho de conformidade com a LGPD”.
A criação da autoridade depende de um decreto presidencial, que estabeleça os parâmetros de sua estrutura e indique seu Conselho Diretivo. Os nomes sugeridos devem passar por votação e aprovação no Senado Federal, antes de serem empossados.
Em um evento realizado na semana passada, o ministro-chefe da Secretaria-Geral da Presidência, Jorge Antônio de Oliveira Francisco, confirmou que o decreto para criação da ANPD está pronto e pode ser publicado em breve. O ministro afirmou que a autoridade ficará sob responsabilidade da Casa Civil.
Vantagem competitiva
Segundo Fabro Steibel, diretor-executivo do Instituto de Tecnologia e Sociedade do Rio de Janeiro, as empresas devem ficar atentas às questões ligadas à proteção de dados não apenas para se adequar à LGPD, mas porque práticas que caminham nesse sentido podem gerar valor e contribuir para inovação e competitividade da companhia.
“Os dados valem mais se forem obtidos de forma que a empresa possa tratar e se o vazamento for diminuído. Assim, eles podem gerar mais valor e respostas para tomada de decisão de negócio”, diz Steibel.
Ele acrescenta que a ANPD é frequentemente associada às grandes empresas, mas acredita que os pequenos e médios negócios serão os mais atendidos pela autoridade. “É só observar como os negócios pelo WhatsApp cresceram na pandemia e, com isso, as questões de pagamento e golpes pelo aplicativo. Todas essas questões passarão pela ANPD”, diz.